P-J-F
Philosoph
- 17.610
Mein Smartphone? Nein, dass ist sicher! Meine Speicherkarte? Wieso meine Speicherkarte?! Es sieht so aus, als sei ein weiteres Schlupfloch in der Sicherheit persönlicher Daten auf dem eigenen Smartphone/Tablet entdeckt worden. Die Leviathan Security Group hat eine Testapp mit dem passenden Namen „No Permissions“ entwickelt und sowohl auf Systemen mit Android 4.0.3 (Ice Cream Sandwich), als auch Android 2.3.5 (Gingerbread) getestet. Ziel war es, festzustellen, ob eine App, die bei der Installation keinerlei Berechtigungen anfordert, eben auch im laufenden Betrieb über keine solchen verfügt. Das Ergebnis ist beunruhigend, nicht mehr, aber auch nicht weniger.
Das Interface von No Permissions gibt drei Optionen vor. „Steal SD Card Contents“ liest natürlich den gesamten Inhalt von eingesteckten Speicherkarten aus. Apps, Bilder, Dokumente und Musik – nicht nur für Musikverlage auf der Jagd nach Piraten interessant, alle auf der Karte gespeicherten Informationen können von installierten Programmen ausgelesen werden, keine Erlaubnis nötig. Der Entwickler von „No Permissions“ hat auf seiner eigenen Speicherkarte sogar OpenVPN Zertifikate entdeckt, auf die hätte zugegriffen werden können. Es sei betont, dass jede hier aktiv durchgeführte Aktion ebenso gut passiv in einem anderen Programm versteckt sein kann.
„Steal App Data“ liest den Ordner /data/system/packages.list aus und erstellt so eine Liste aller installierten Apps. Auf diesem Wege lässt sich dann feststellen, welche Programme eventuell sensible Daten gespeichert haben oder ganz grundsätzlich, welche vielleicht unsichere App als Türöffner für weitere schadhafte Software dienen könnte. Auf die gleiche Weise gelangt „No Permissions“ auch an Informationen über den Hersteller/Netzanbieter der SIM-Karte, die Kernel-Version, bzw. ob und welches Custom-ROM auf dem Gerät läuft, sowie die Android ID. Über den Button „Upload Identifying Date“ lassen sich dann alle gesammelten Daten übertragen, damit auch dies ohne eigene Berechtigung funktioniert, nutzt die App eine Sicherheitslücke, die es erlaubt, Verbindungen herzustellen, während das Smartphone bereits eine Verbindung mit dem Internet hergestellt hat. Wer sich für die genauen Details interessiert, dem empfehlen wir das Studium der Quellenseite.
Abschließend sollte erwähnt werden, dass jedes gefundene Loophole zwar beachtet werden, aber nicht für Panikmache genutzt werden sollte. Es liegt in der Natur der Sache, dass mehr Sicherheitslücken gefunden werden, je intensiver man nach ihnen sucht. Das mögliche Auslesen der Speicherkarte ist hierfür ein gutes Beispiel. Das Sicherheitsrisiko besteht nicht erst seit der Entdeckung, aber sollt man deshalb jetzt in Unruhe verfallen? Was liegt auf der SD-Karte, was viele Menschen nicht sowieso schon in einem sozialen Netzwerk präsentiert haben oder irgendwo auf einem Cloudserver zwischenlagern und wen kümmert es wirklich, dass jemand herausfinden kann, was ich für Apps installiere? Diejenigen, die vielleicht von Hause aus etwas misstrauischer sind, werden private Daten auch im Smartphone, wenn überhaupt, dann nur verschlüsselt gespeichert haben und können jetzt bestätigt in die Runde nicken und verkünden, dass sie immer schon meinten, mit sensiblen Daten vorsichtig umgehen zu müssen.
Pic: slashgear.com
Diskussions-Threads:
Ist ein Antivirenprogramm nötig?
Benutzt ihr Sicherheits-Software? [Umfrage]
[OFFURL="https://www.android-hilfe.de/google-play-store-android-market/192787-berechtigungen-der-apps-diskussion-bitte-sachlich-bleiben.html"]Berechtigungen von Apps[/OFFURL]
[OFFURL="https://www.android-hilfe.de/android-allgemein/227379-wie-apps-ihre-nutzer-ausspionieren-whatsapp-liest-bankdaten-aus-uvm.html"]Wie Apps ihre Nutzer ausspionieren (können)[/OFFURL]
Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...ios-angry-birds.229008.html?highlight=malware
https://www.android-hilfe.de/forum/...-android-market.199479.html?highlight=malware
https://www.android-hilfe.de/forum/...er-fuer-android.165776.html?highlight=malware
Quellen:
Zero-Permission Android Applications - Leviathan Security Group
via
No Permissions Android app shows three giant security loopholes - SlashGear
Das Interface von No Permissions gibt drei Optionen vor. „Steal SD Card Contents“ liest natürlich den gesamten Inhalt von eingesteckten Speicherkarten aus. Apps, Bilder, Dokumente und Musik – nicht nur für Musikverlage auf der Jagd nach Piraten interessant, alle auf der Karte gespeicherten Informationen können von installierten Programmen ausgelesen werden, keine Erlaubnis nötig. Der Entwickler von „No Permissions“ hat auf seiner eigenen Speicherkarte sogar OpenVPN Zertifikate entdeckt, auf die hätte zugegriffen werden können. Es sei betont, dass jede hier aktiv durchgeführte Aktion ebenso gut passiv in einem anderen Programm versteckt sein kann.
„Steal App Data“ liest den Ordner /data/system/packages.list aus und erstellt so eine Liste aller installierten Apps. Auf diesem Wege lässt sich dann feststellen, welche Programme eventuell sensible Daten gespeichert haben oder ganz grundsätzlich, welche vielleicht unsichere App als Türöffner für weitere schadhafte Software dienen könnte. Auf die gleiche Weise gelangt „No Permissions“ auch an Informationen über den Hersteller/Netzanbieter der SIM-Karte, die Kernel-Version, bzw. ob und welches Custom-ROM auf dem Gerät läuft, sowie die Android ID. Über den Button „Upload Identifying Date“ lassen sich dann alle gesammelten Daten übertragen, damit auch dies ohne eigene Berechtigung funktioniert, nutzt die App eine Sicherheitslücke, die es erlaubt, Verbindungen herzustellen, während das Smartphone bereits eine Verbindung mit dem Internet hergestellt hat. Wer sich für die genauen Details interessiert, dem empfehlen wir das Studium der Quellenseite.
Abschließend sollte erwähnt werden, dass jedes gefundene Loophole zwar beachtet werden, aber nicht für Panikmache genutzt werden sollte. Es liegt in der Natur der Sache, dass mehr Sicherheitslücken gefunden werden, je intensiver man nach ihnen sucht. Das mögliche Auslesen der Speicherkarte ist hierfür ein gutes Beispiel. Das Sicherheitsrisiko besteht nicht erst seit der Entdeckung, aber sollt man deshalb jetzt in Unruhe verfallen? Was liegt auf der SD-Karte, was viele Menschen nicht sowieso schon in einem sozialen Netzwerk präsentiert haben oder irgendwo auf einem Cloudserver zwischenlagern und wen kümmert es wirklich, dass jemand herausfinden kann, was ich für Apps installiere? Diejenigen, die vielleicht von Hause aus etwas misstrauischer sind, werden private Daten auch im Smartphone, wenn überhaupt, dann nur verschlüsselt gespeichert haben und können jetzt bestätigt in die Runde nicken und verkünden, dass sie immer schon meinten, mit sensiblen Daten vorsichtig umgehen zu müssen.
Pic: slashgear.com
Diskussions-Threads:
Ist ein Antivirenprogramm nötig?
Benutzt ihr Sicherheits-Software? [Umfrage]
[OFFURL="https://www.android-hilfe.de/google-play-store-android-market/192787-berechtigungen-der-apps-diskussion-bitte-sachlich-bleiben.html"]Berechtigungen von Apps[/OFFURL]
[OFFURL="https://www.android-hilfe.de/android-allgemein/227379-wie-apps-ihre-nutzer-ausspionieren-whatsapp-liest-bankdaten-aus-uvm.html"]Wie Apps ihre Nutzer ausspionieren (können)[/OFFURL]
Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...ios-angry-birds.229008.html?highlight=malware
https://www.android-hilfe.de/forum/...-android-market.199479.html?highlight=malware
https://www.android-hilfe.de/forum/...er-fuer-android.165776.html?highlight=malware
Quellen:
Zero-Permission Android Applications - Leviathan Security Group
via
No Permissions Android app shows three giant security loopholes - SlashGear
